Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Transcripción

1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de Alinear el contenido con las nuevas PCI DSS versión 1.2 e implementar cambios menores observados desde la versión 1.1. original. Copyright 2008 PCI Security Standards Council LLC Página i

3 Índice Modificaciones realizadas a los documentos... i Prefacio... iii Elementos de los datos del titular de la tarjeta y de los datos confidenciales de autenticación... 1 Ubicación de los datos de los titulares de tarjetas y de los datos confidenciales de autenticación... 2 Datos de la pista 1 y pista relacionada para las Normas de Seguridad de Datos de la PCI... 4 para los requisitos 1 y 2: Desarrollar y mantener una red segura... 5 Requisito 1: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas... 5 Requisito 2: No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad para los requisitos 3 y 4: Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas para los requisitos 5 y 6: Desarrolle un programa de administración de vulnerabilidad Requisito 5: Utilice y actualice regularmente el software o los programas antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras para los requisitos 7, 8 y 9: Implemente medidas sólidas de control de acceso Requisito 7: Restrinja el acceso a datos de titulares de tarjetas sólo a la necesidad de conocimiento de la empresa Requisito 8: Asigne una ID única a cada persona que tenga acceso a computadoras Requisito 9: Limite el acceso físico a los datos del titular de la tarjeta para los requisitos 10 y 11: Supervise y pruebe las redes con regularidad Requisito 10: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas Requisito 11: Pruebe los sistemas y procesos de seguridad regularmente para el requisito 12: Mantenga una política de seguridad de información Requisito 12: Mantenga una política que aborde la seguridad de la información para empleados y contratistas para el requisito A.1: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido Anexo A: Normas de seguridad de datos de la PCI: documentos relacionados Copyright 2008 PCI Security Standards Council LLC Página ii

4 Prefacio Este documento describe los 12 requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), junto con orientación para explicar el propósito de cada requisito. Este documento pretende ayudar a comerciantes, proveedores de servicios e instituciones financieras que quizá deseen comprender las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, y el significado específico y la intención detrás de los requisitos detallados para asegurar los componentes del sistema (servidores, redes, aplicaciones, etc.) que admiten entornos de datos de los titulares de las tarjetas. NOTA: Exploración de PCI DSS: La comprensión del objetivo de los requisitos es sólo orientativa. Cuando se realiza un Cuestionario de Autoevaluación (SAQ) o una evaluación in situ de las PCI DSS, los requisitos de las PCI DSS y procedimientos para la evaluación de la seguridad y los Cuestionarios de Autoevaluación de las PCI DSS, versión 1.2, son los documentos de registro. Los requisitos de las PCI DSS se aplican a todos los componentes del sistema que se incluyen en el entorno de los datos del titular de la tarjeta o que están relacionados con éste. El entorno de los datos del titular de la tarjeta es la parte de la red que posee los datos del titular de la tarjeta o los datos confidenciales de autenticación, incluidos los componentes de la red, los servidores y las aplicaciones. Los componentes de la red incluyen, a modo de ejemplo, firewalls, interruptores, routers, puntos de acceso inalámbricos, dispositivos de red y otros dispositivos de seguridad. Los tipos de servidores incluyen, a modo de ejemplo: web, base de datos, autenticación, correo electrónico, proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS). Las aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas (Internet). La adecuada segmentación de red, que aísla los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta de los que no lo hacen, puede reducir el alcance del entorno de los datos del titular. Un Asesor de Seguridad Certificado (QSA) puede ayudar a determinar el alcance dentro del entorno de los datos del titular de una entidad y brindar orientación sobre cómo reducir el alcance de una evaluación de las PCI DSS mediante la implementación de una segmentación de red adecuada. Si las empresas tienen preguntas acerca de si una implementación específica concuerda con la norma o si cumple con un requisito específico, las PCI SSC recomiendan que consulten con un Asesor de Seguridad Certificado (QSA) para validar su implementación de tecnología y procesos, y el cumplimiento de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago. La experiencia del QSA en el trabajo con entornos de red complejos se presta bien para ofrecer las mejores prácticas y orientación para el comerciante o proveedor de servicios que intenta lograr el cumplimiento. Puede encontrar la lista de PCI SSC de los Asesores de Seguridad Certificados en: Copyright 2008 PCI Security Standards Council LLC Página iii

5 Elementos de los datos del titular de la tarjeta y de los datos confidenciales de autenticación La siguiente tabla ilustra los elementos de los datos de titulares de tarjetas y de los datos confidenciales de autenticación que habitualmente se utilizan; independientemente de que esté permitido o prohibido el almacenamiento de dichos datos o de que esos datos deban estar protegidos. Esta tabla no intenta ser exhaustiva, sino que tiene como finalidad ilustrar distintos tipos de requisitos que se aplican a cada elemento de datos. Los datos del titular de la tarjeta se definen como el número de cuenta principal ( PAN, o número de tarjeta de crédito) y otros datos obtenidos como parte de una transacción de pago, incluidos los siguientes elementos de datos (para obtener información detallada vea debajo de la tabla). PAN Nombre del titular de la tarjeta Fecha de vencimiento Código de servicio Datos confidenciales de autenticación: (1) todos los datos de banda magnética, (2) CAV2/CVC2/CVV2/CID, y (3) los PIN/los bloqueos de PIN) El número de cuenta principal (PAN) es el factor que define la aplicabilidad de los requisitos de las PCI DSS y las PA-DSS. Si no se almacena, procesa ni transmite el PAN, no se aplicarán las PCI DSS ni las PA-DSS. Datos del titular de la tarjeta Datos confidenciales de autenticación 2 Elemento de datos Almacenamiento permitido Protección requerida PCI DSS req. 3, 4 Número de cuenta principal Sí Sí Sí Nombre del titular de la tarjeta 1 Sí Sí 1 No Código de servicio 1 Sí Sí 1 No Fecha de vencimiento 1 Sí Sí 1 No Datos completos de la banda 3 magnética No N/C N/C CAV2/CVC2/CVV2/CID No N/C N/C PIN/Bloqueo de PIN No N/C N/C Estos elementos de datos deben quedar protegidos si se los almacena con el PAN. Esta protección debe brindarse por cada requisito de las PCI DSS, a fin de asegurar una protección integral del entorno del titular de la tarjeta. Además, es posible que otras leyes (por ejemplo, las leyes relacionadas con la protección, la privacidad, el robo de identidad o la seguridad de los datos personales del consumidor) exijan protección específica de esos datos o la debida divulgación de las prácticas de una empresa en caso de que se recopilen datos personales sobre el consumidor durante el transcurso de los negocios. Sin embargo, las PCI DSS no se aplica si no se almacenan, procesan ni transmiten los PAN. No se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados). Contenido completo de la pista de banda magnética, imagen de la banda magnética que está en el chip o en cualquier otro dispositivo. Copyright 2008 PCI Security Standards Council LLC Página 1

6 Ubicación de los datos de los titulares de tarjetas y de los datos confidenciales de autenticación Los datos confidenciales de autenticación constan de datos 4 de banda (o pista) magnética, el código de validación de la tarjeta o valor 5 y los datos de PIN 6. Se prohíbe el almacenamiento de datos confidenciales de autenticación! Estos datos son muy valiosos para las personas malintencionadas ya que les permiten generar tarjetas de pago falsas y crear transacciones fraudulentas. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener la definición completa de los datos confidenciales de autenticación. Las imágenes del anverso y el reverso de la siguiente tarjeta de crédito muestran la ubicación del titular de la tarjeta y los datos confidenciales de autenticación. 4 Datos codificados en la banda magnética que se utilizan para realizar la autorización durante una transacción con tarjeta presente. Estos datos también pueden encontrarse en la imagen de la banda magnética que está en el chip o en algún otro lugar de la tarjeta. Es posible que las entidades no retenga n todos los datos de banda magnética después de la autorización de la transacción. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. 5 El valor de tres o cuatro dígitos impreso en el panel de firma, a la derecha del panel de firma o en el anverso de la tarjeta de pago que se utiliza para verificar l as transacciones con tarjeta ausente (CNP). 6 El número de identificación personal introducido por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo del PIN cifrado presente dentro del mensaje de la transacción. Copyright 2008 PCI Security Standards Council LLC Página 2

7 Datos de la pista 1 y pista 2 Si se almacena el contenido completo (ya sea de la pista 1 o de la pista 2 de banda magnética, imagen de la banda magnética que está en un chip o en cualquier otro dispositivo) las personas malintencionadas que obtienen datos pueden reproducir y vender tarjetas de pago en todo el mundo. El almacenamiento del contenido completo de la pista viola la reglamentación operativa de las marcas de pago y puede ocasionar multas o sanciones. La siguiente imagen ofrece información sobre los datos de la pista 1 y de la pista 2, mediante la descripción de las diferencias y la exhibición de la composición de los datos como están almacenados en la banda magnética. Contiene todos los campos de la pista 1 y de la pista 2 Longitud de hasta 79 caracteres Pista 1 Pista 2 Tiempo de procesamiento más corto para las transmisiones por línea telefónica más antiguas. Longitud de hasta 40 caracteres Copyright 2008 PCI Security Standards Council LLC Página 3

8 relacionada para las Normas de Seguridad de Datos de la PCI Desarrollar y mantener una red segura Requisito 1: Requisito 2: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad. Proteja los datos del titular de la tarjeta Requisito 3: Requisito 4: Proteja los datos del titular de la tarjeta que fueron almacenados Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas. Desarrolle un programa de administración de vulnerabilidad Requisito 5: Requisito 6: Utilice un software antivirus y actualícelo regularmente Desarrolle y mantenga sistemas y aplicaciones seguras Implemente medidas sólidas de control de acceso Requisito 7: Requisito 8: Requisito 9: Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa Asigne una ID única a cada persona que tenga acceso a computadoras Limite el acceso físico a los datos del titular de la tarjeta Supervise y pruebe las redes con regularidad Requisito 10: Requisito 11: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas Pruebe los sistemas y procesos de seguridad regularmente Mantenga una política de seguridad de información Requisito 12: Mantenga una política que aborde la seguridad de la información Copyright 2008 PCI Security Standards Council LLC Página 4

9 para los requisitos 1 y 2: Desarrollar y mantener una red segura Requisito 1: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas Los firewalls son dispositivos computarizados que controlan el tránsito permitido en la red de una empresa (interna) y de redes no confiables (externas) así como el tránsito de entrada y salida a áreas más sensibles dentro de la red interna confidencial de la empresa. El entorno del titular de la tarjeta es un ejemplo de un área más confidencial dentro de la red confiable de la empresa. El firewall evalúa todo el tránsito de la red y bloquea las transmisiones que no cumplen con los criterios especificados de seguridad. Es necesario proteger todos los sistemas contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrónico de los empleados, de conexiones dedicadas como conexiones de empresa a empresa mediante redes inalámbricas o a través de otras fuentes. Con frecuencia, algunas vías de conexión hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin protección a sistemas clave. Los firewalls son un mecanismo de protección esencial para cualquier red de computadoras. Requisito 1.1 Establezca las normas de configuración del firewall y del router que incluyen lo siguiente: Un proceso formal para aprobar y evaluar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de las tarjetas, incluida toda red inalámbrica Los firewalls y los routers son componentes clave de la arquitectura que controlan la entrada a la red y la salida de ésta. Estos dispositivos son dispositivos de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado de los elementos que entran y salen de la red. Sin la implementación de políticas y procedimientos para documentar cómo el personal debe configurar los firewalls y los routers, una empresa puede perder fácilmente su primera línea de defensa en la protección de datos. Las políticas y los procedimientos ayudarán a asegurar que la primera línea de defensa de la organización se mantenga fuerte en la protección de sus datos. Una política y un proceso para aprobar y evaluar todas las conexiones y los cambios que se realizan en los firewalls y en los routers ayudarán a prevenir los problemas de seguridad que causa una mal configuración de la red, del router o del firewall. Los diagramas de red permiten a la organización identificar la ubicación de todos sus dispositivos de red. Además, el diagrama de red se puede usar para trazar el flujo de datos de los datos del titular de la tarjeta en la red y entre los dispositivos individuales para comprender plenamente el alcance del entorno del titular de la tarjeta. Sin diagramas de red y de flujos de datos actualizados, los dispositivos con datos del titular de la tarjeta pueden pasarse por alto e, inconcientemente, pueden dejarse afuera de los controles de seguridad en capas que se implementan para las PCI DSS y, por ende, tornarse vulnerables al peligro. Copyright 2008 PCI Security Standards Council LLC Página 5

10 1.1.3 Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna Descripción de grupos, de papeles y de responsabilidades para una administración lógica de los componentes de la red Razón documentada y comercial para la utilización de todos los servicios, los protocolos y los puertos permitidos, incluida la documentación de funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros Requisitos de la revisión de las normas del firewall y del router, al menos, cada seis meses El uso de un firewall en todas las conexiones que ingresan a la red (y las que salen) permite a la organización supervisar y controlar todo lo que entra y sale y minimizar las posibilidades de que personas malintencionadas logren obtener acceso a la red interna. Esta descripción de funciones y asignación de responsabilidades garantiza que alguien sea responsable de la seguridad de todos los componentes y que sea consciente de su responsabilidad, y que ningún dispositivo quede sin administrar. Generalmente, los riesgos existen debido a servicios o puertos inseguros o que no se usan, ya que éstos generalmente tienen vulnerabilidades conocidas, y muchas organizaciones son vulnerables a estos tipos de riesgos porque no corrigen provisionalmente la vulnerabilidad de seguridad de los servicios, protocolos y puertos que no usan (aunque las vulnerabilidades aún estén presentes). Cada organización debe decidir de manera clara qué servicios, protocolos y puertos son necesarios para su empresa, documentarlos para sus registros y asegurarse de que todos los otros servicios, protocolos y puertos estén desactivados o se hayan eliminado. Además, las organizaciones deben considerar el bloqueo de todo el tránsito y sólo volver a abrir esos puertos una vez que se ha determinado y documentado una necesidad. Asimismo, existen muchos servicios, protocolos y puertos que una empresa puede necesitar (o ha activado de manera predeterminada) y que generalmente son usados por personas malintencionadas para poner en riesgo una red. Si estos servicios, protocolos y puertos inseguros son necesarios para la empresa, la organización debe comprender y aceptar el riesgo que ocasiona el uso de estos protocolos, se debe justificar el uso del protocolo y se deben documentar e implementar las funciones de seguridad que permiten que estos protocolos se usen de manera segura. Si estos servicios, protocolos y puertos inseguros no son necesarios para la empresa, deben desactivarse o eliminarse. Esta revisión le da una oportunidad a la organización, al menos cada seis meses, para limpiar toda norma innecesaria, obsoleta o incorrecta, y asegura que todas las normas permitan sólo servicios autorizados y puertos que se ajusten a razones comerciales. Se recomienda realizar estas revisiones con más frecuencia, por ejemplo, mensualmente, para garantizar que las normas estén actualizadas y satisfagan las necesidades de la empresa sin abrir los agujeros de seguridad y correr riesgos innecesarios. Copyright 2008 PCI Security Standards Council LLC Página 6

11 1.2 Desarrolle una configuración de firewall que restrinja las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos del titular de la tarjeta. Nota: Una red no confiable" es toda red que es externa a las redes que pertenecen a la entidad en evaluación y que excede la capacidad de control o administración de la entidad Restrinja el tránsito entrante y saliente a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta Asegure y sincronice los archivos de configuración de routers Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar todo tránsito desde el entorno inalámbrico o para controlar (en caso de que ese tránsito fuera necesario para fines comerciales). Es esencial instalar protección de red, como un firewall, entre la red interna confiable y cualquier otra red no confiable externa o que excede la capacidad de control o administración de la entidad. Si no se implementa esta medida de manera correcta significa que la entidad será vulnerable al acceso no autorizado de personas malintencionadas y software malicioso. Si se instala un firewall pero no hay normas que controlen o limiten cierto tránsito, las personas malintencionadas aún pueden explotar los puertos y protocolos vulnerables para atacar su red. Este requisito tiene como objetivo impedir que personas malintencionadas tengan acceso a la red de la organización a través de direcciones IP no autorizadas o a través del uso de servicios, protocolos o puertos de manera no autorizada (por ejemplo, para enviar a un servidor no confiable datos que han obtenido de su red). Todos los firewalls deben incluir una norma que niegue todo tránsito entrante y saliente que no sea específicamente necesario. Esto impide que haya agujeros inadvertidos que pueden permitir otro tránsito entrante o saliente accidental y potencialmente peligroso. Si bien los archivos de configuración en ejecución generalmente se implementan con una configuración segura, es posible que los archivos de arranque (los routers sólo ejecutan estos archivos al reiniciarse) no se implementen con la misma configuración de seguridad porque sólo se ejecutan ocasionalmente. Cuando un router se reinicia sin la misma configuración segura que las de los archivos de configuración en ejecución, es posible que se produzcan normas más débiles que permitan que personas malintencionadas ingresen en la red, ya que es posible que los archivos de arranque no se hayan implementado con la misma configuración segura que los archivos de configuración en ejecución. La implementación y explotación conocida (o desconocida) de tecnología inalámbrica dentro de una red es una vía común para que las personas malintencionadas obtengan acceso a la red y a los datos del titular de la tarjeta. Si se instala una red o un dispositivo inalámbrico sin que la empresa sepa, una persona malintencionada puede fácilmente e inevitablemente ingresar a la red. Si los firewalls no restringen el acceso desde redes inalámbricas hacia el entorno de la tarjeta de pago, las personas malintencionadas que obtienen acceso no autorizado a la red inalámbrica pueden conectarse fácilmente con el entorno de la tarjeta de pago y poner en riesgo la información de la cuenta. Copyright 2008 PCI Security Standards Council LLC Página 7

12 1.3 Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas Implemente un DMZ para limitar el tránsito entrante y saliente a los protocolos que sean necesarios en el entorno de datos del titular de la tarjeta Restrinja el tránsito entrante de Internet a las direcciones IP dentro del DMZ No permita ninguna ruta directa de entrada o salida de tránsito entre Internet y el entorno del titular de la tarjeta No permita que las direcciones internas pasen desde Internet al DMZ Restrinja el tránsito saliente del entorno de datos del titular de la tarjeta a Internet de forma tal que el tránsito saliente sólo pueda acceder a direcciones IP dentro del DMZ. El propósito de un firewall es administrar y controlar todas las conexiones que hay entre sistemas públicos y sistemas internos (especialmente los que almacenan datos de titulares de tarjetas). Si se permite el acceso directo entre sistemas públicos y los que almacenan datos de titulares de tarjetas, se omite la protección que ofrece el firewall y los componentes del sistema que almacenan datos de titulares de tarjetas pueden estar en peligro. Estos requisitos tienen como objetivo impedir que personas malintencionadas tengan acceso a la red de la organización a través de direcciones IP no autorizadas o a través del uso de servicios, protocolos o puertos de manera no autorizada (por ejemplo, para enviar a un servidor externo no confiable de una red no confiable datos que han obtenido de su red). El DMZ es la parte del firewall que hace frente a la Internet pública y administra las conexiones entre Internet y los servicios internos que una organización necesita tener disponibles para el público (como un servidor web). Es la primera línea de defensa que aísla y separa el tránsito que necesita para comunicarse con la red interna del tráfico que no necesita comunicarse con la red interna. Normalmente, un paquete contiene la dirección IP de la computadora que lo envió originalmente. Esto les permite a otras computadoras de la red saber de dónde viene ese paquete. En ciertos casos, personas malintencionadas falsificarán esta dirección IP. Por ejemplo, personas malintencionadas envían un paquete con una dirección falsa, de manera que (a menos que su firewall lo prohíba) el paquete ingresa a la red desde Internet, como tránsito interno y, por ende, legítimo. Una vez que las personas malintencionadas están dentro de la red, pueden poner en peligro sus sistemas. El filtrado de ingreso es una técnica que puede usar en su firewall para filtrar paquetes que ingresan en su red para, entre otras cosas, asegurarse de que los paquetes no se falsifiquen a fin de que parezca que provienen de su propia red interna. Si necesita más información sobre el filtrado de paquetes, puede obtener información sobre una técnica de consecuencia natural denominada filtrado de salida. El DMZ también debe evaluar todo el tránsito saliente desde el interior de la red para asegurar que todo el tránsito saliente siga las normas establecidas. Para que el DMZ realice esta función con eficacia, no se deben permitir conexiones desde el interior de la red hacia cualquier dirección fuera de la red, a menos que antes pasen por el DMZ y este evalúe su legitimidad. Copyright 2008 PCI Security Standards Council LLC Página 8

13 1.3.6 Implemente la inspección completa, también conocida como filtrado dinámico de paquetes. (Es decir, sólo se permite la entrada a la red de conexiones establecidas ) Coloque la base de datos en una zona de red interna, segregada del DMZ Implemente la simulación IP a los efectos de evitar que las direcciones internas se traduzcan y se divulguen en Internet mediante la utilización del espacio de dirección RFC Utilice tecnologías de traducción de dirección de red (NAT), por ejemplo, traducción de dirección de puertos (PAT). 1.4 Instale software de firewall personal en toda computadora móvil o de propiedad de los trabajadores con conectividad directa a Internet (por ejemplo, laptops que usan los trabajadores), mediante las cuales se accede a la red de la organización. Un firewall que realiza una inspección meticulosa de paquetes mantiene el estado (o el estatus) de todas las conexiones del firewall. Al mantener el estado, el firewall sabe si lo que parece ser una respuesta a una conexión anterior es verdaderamente una respuesta (ya que "recuerda" la conexión anterior) o es un software malicioso o una persona malintencionada que intenta burlar o engañar el firewall para que permita la conexión. Los datos del titular de la tarjeta requieren el mayor nivel de protección de la información. Si se ubican datos del titular de la tarjeta dentro del DMZ, el acceso a esta información es más simple para un atacante externo, ya que hay menos capas para penetrar. La simulación IP, que administra el firewall, permite a una organización tener direcciones internas que son sólo visibles dentro de la red y direcciones externas que son visibles fuera de la red. Si un firewall no esconde u oculta las direcciones IP de la red interna, una persona malintencionada puede descubrir direcciones IP internas e intentar acceder a la red con una dirección IP falsa. Si una computadora no tiene un firewall o un programa antivirus instalado, se pueden descargar spyware, troyanos, virus, gusanos y rootkit (malware) o instalarse sin saberlo. La computadora es aún más vulnerable cuando está directamente conectada a Internet y no detrás del firewall de la empresa. El malware cargado en una computadora que no está protegida por el firewall de la empresa puede dirigirse maliciosamente a la información que hay en la red cuando la computadora se vuelve a conectar a la red corporativa. Copyright 2008 PCI Security Standards Council LLC Página 9

14 2: No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad. Los delincuentes (externos e internos a la empresa), por lo general, utilizan las contraseñas predeterminadas por los proveedores y otros parámetros que el proveedor predetermine para afectar los sistemas. Estas contraseñas y parámetros son conocidos entre las comunidades de hackers y se establecen fácilmente por medio de información pública. Requisito 2.1 Siempre cambie los valores predeterminados de los proveedores antes de instalar un sistema en la red (por ejemplo, incluya contraseñas, cadenas comunitarias de protocolo simple de administración de red [SNMP] y elimine cuentas innecesarias) En el caso de entornos inalámbricos que están conectados al entorno de datos del titular de la tarjeta o que transfieren datos del titular de la tarjeta, cambie los valores predeterminados proporcionados por los proveedores, incluidas, a modo de ejemplo, claves de criptografía inalámbricas predeterminadas, contraseñas y cadenas comunitarias SNMP. Asegúrese de que la configuración de seguridad de los dispositivos inalámbricos esté habilitada para la tecnología de cifrado de la autenticación y transmisión. Los delincuentes (externos e internos a la empresa), por lo general, utilizan las contraseñas, los nombres de cuenta y los valores de configuración predeterminados por los proveedores para afectar los sistemas. Las comunidades de hackers conocen bien estos valores de configuración y hacen que su sistema sea muy vulnerable a un ataque. Muchos usuarios instalan estos dispositivos sin la aprobación de la gerencia y no cambian los valores de configuración predeterminados ni establecen la configuración de seguridad. Si las redes inalámbricas no se implementan con suficientes configuraciones de seguridad (incluido el cambio de los valores de configuración predeterminados), los analizadores inalámbricos de protocolos pueden espiar el tránsito, capturar datos y contraseñas de manera sencilla e ingresar fácilmente en su red y atacarla. Además, se ha roto el protocolo de intercambio clave para la versión anterior de cifrado x (WEP) y puede hacer que el cifrado sea inútil. Verifique que el firmware de los dispositivos esté actualizado para admitir protocolos más seguros, como WPA/WPA2. Copyright 2008 PCI Security Standards Council LLC Página 10

15 2.2 Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria Implemente solamente una función principal por cada servidor Deshabilite todos los servicios y protocolos innecesarios e inseguros (servicios y protocolos que no sean directamente necesarios para desempeñar la función especificada de los dispositivos). Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, y también existen formas conocidas de configurar estos sistemas para arreglar las vulnerabilidades de seguridad. Para ayudar a quienes no son expertos en seguridad, las organizaciones de seguridad han establecido recomendaciones de alta seguridad de sistema, que aconsejan cómo corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas, como una configuración de archivo débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante puede usar distintos puntos vulnerables conocidos para atacar servicios y protocolos vulnerables y, así, obtener acceso a la red de la organización. Puede visitar estos tres sitios web de ejemplo, en los que podrá obtener más información sobre las mejores prácticas de la industria que pueden ayudarlo a implementar normas de configuración: Esto tiene como objetivo garantizar que las normas de configuración de los sistemas y los procesos relacionados de una empresa tratan las funciones de los servidores que necesitan tener distintos niveles de seguridad o que pueden introducir debilidades de seguridad en otras funciones del mismo servidor. Por ejemplo: 1. Una base de datos, que requiere fuertes medidas de seguridad, estaría en riesgo si compartiera un servidor con una aplicación web, que necesita estar abierta y enfrenarse directamente con Internet. 2. Si no se aplica un parche a una función aparentemente menor se puede correr un riesgo que puede repercutir en otras funciones más importantes (como la base de datos) del mismo servidor. Este requisito es para servidores (generalmente Unix, Linux o Windows), pero no para sistemas mainframe. Como se mencionó en 1.1.7, existen muchos protocolos que una empresa puede necesitar (o ha activado de manera predeterminada) y que generalmente son usados por personas malintencionadas para poner en riesgo una red. Para garantizar que estos servicios y protocolos estén siempre desactivados cuando se implementan nuevos servidores, este requisito debe ser parte de las normas de configuración y los procesos relacionados de su empresa. Copyright 2008 PCI Security Standards Council LLC Página 11

16 2.2.3 Configure los parámetros de seguridad del sistema para evitar el uso indebido Elimine todas las funcionalidades innecesarias, tales como secuencias de comandos, controladores, funciones, subsistemas, sistemas de archivos y servidores web innecesarios. 2.3 Cifre el acceso administrativo que no sea de consola. Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y otros tipos de acceso administrativo que no sea de consola. 2.4 Los proveedores de servicio de hosting deben proteger el entorno hosting y los datos del titular de la tarjeta. Estos proveedores deben cumplir requisitos específicos detallados en el Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido. Esto pretende garantizar que las normas de configuración de los sistemas y los procesos relacionados de su empresa traten específicamente los parámetros y la configuración de seguridad que han conocido implicaciones de seguridad. Las normas de alta seguridad de servidor deben incluir procesos para abordar las funcionalidades innecesarias con implicaciones de seguridad específicas (como eliminar/desactivar el FTP o el servidor web si el servidor no ejecutará esas funciones). Si la administración remota no se realiza con autenticación segura y comunicaciones cifradas, la información confidencial de nivel operativo o administrativo (como las contraseñas de los administradores) puede revelarse a un espía. Una persona malintencionada puede usar esta información para acceder a la red, convertirse en administrador y robar datos. Este punto está pensado para los proveedores de hosting que ofrecen entornos de servicio de hosting compartido para varios clientes en el mismo servidor. En general, cuando todos los datos están en el mismo servidor, bajo el control de un solo entorno, los clientes individuales no pueden controlar la configuración de estos servidores, pero se les permite agregar secuencias y funciones inseguras que afectan la seguridad de los entornos de los otros clientes y, por ende, hacen que sea más fácil para las personas malintencionadas poner en riesgo los datos de un cliente y, así, obtener acceso a todos los otros datos de los clientes. Consulte el Anexo A. Copyright 2008 PCI Security Standards Council LLC Página 12

17 para los requisitos 3 y 4: Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Las medidas de protección como el cifrado, el truncamiento, el ocultamiento y la refundición son importantes componentes de la protección de datos del titular de la tarjeta. Si un intruso viola otros controles de seguridad de red y obtiene acceso a los datos cifrados, sin las claves criptográficas adecuadas no podrá leer ni utilizar esos datos. Los otros métodos eficaces para proteger los datos almacenados deberían considerarse oportunidades para mitigar el riesgo posible. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar datos de los titulares de la tarjeta salvo que sea absolutamente necesario, truncar los datos de los titulares de la tarjeta si no se necesita el PAN completo y no enviar el PAN en correos electrónicos no cifrados. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener definiciones de "criptografía sólida" y otros términos de las DSS de la PCI. Requisito 3.1 Almacene la menor cantidad de datos posibles del titular de la tarjeta. Desarrolle una política de retención y de disposición de datos. Reduzca la cantidad de datos almacenados y el tiempo de retención a los que sean necesarios para fines comerciales, legales o reglamentarios, según se documente en la política de retención de datos. 3.2 No almacene datos confidenciales de autenticación después de recibir la autorización (aun cuando estén cifrados). Los datos confidenciales de autenticación incluyen los datos mencionados en los requisitos a establecidos a continuación. El almacenamiento de gran extensión de datos de los titulares de las tarjetas que excede la necesidad de la empresa crea un riesgo innecesario. Los únicos datos de los titulares de las tarjetas que pueden almacenarse son el número de cuenta principal o PAN (ilegible), la fecha de vencimiento, el nombre y el código de servicio. Recuerde: si no lo necesita, no lo almacene! Los datos confidenciales de autenticación constan de datos 7 de banda (o pista) magnética, el código de validación de la tarjeta o valor 8 y los datos de PIN 9. Se prohíbe el almacenamiento de datos confidenciales de autenticación después de recibir la autorización! Estos datos son muy valiosos para las personas malintencionadas ya que les permiten generar tarjetas de pago falsas y crear transacciones fraudulentas. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener la definición completa de los datos confidenciales de autenticación. 7 Datos codificados en la banda magnética que se utilizan para realizar la autorización durante una transacción con tarjeta presente. Estos datos también pueden encontrarse en la imagen de la banda magnética que está en el chip o en algún otro lugar de la tarjeta. Es posible que las entidades no retenga n todos los datos de banda magnética después de la autorización de la transacción. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. 8 El valor de tres o cuatro dígitos impreso en el panel de firma, a la derecha del panel de firma o en el anverso de la tarjeta de pago que se utiliza para verificar las transacciones con tarjeta ausente (CNP). 9 El número de identificación personal introducido por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo del PIN cifrado presente dentro del mensaje de la transacción. Copyright 2008 PCI Security Standards Council LLC Página 13

18 No almacene contenidos completos de ninguna pista de la banda magnética (que está en el reverso de la tarjeta, en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente, pista completa, pista, pista 1, pista 2 y datos de banda magnética. Nota: En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética: El nombre del titular de la tarjeta. Número de cuenta principal (PAN). Fecha de vencimiento. Código de servicio. Para minimizar el riesgo, almacene solamente los elementos de datos que sean necesarios para el negocio. Nota: Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS para obtener más información. No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes. Nota: Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS para obtener más información. No almacene el número de identificación personal (PIN) ni el bloqueo del PIN cifrado. Si se almacena el contenido completo, las personas malintencionadas que obtienen datos pueden reproducir y vender tarjetas de pago en todo el mundo. El objetivo del código de validación de la tarjeta es proteger las transacciones de tarjetas ausentes (transacciones de pedidos por Internet o correo/ teléfono). Estos tipos de transacciones pueden autenticarse y demostrar que provienen del propietario de la tarjeta con sólo solicitar este código de validación de la tarjeta, ya que el propietario tiene la tarjeta en la mano y puede leer el valor. Si estos datos prohibidos se almacenan y luego son robados, las personas malintencionadas pueden ejecutar transacciones de pedidos por Internet o correo/teléfono fraudulentas. Sólo el propietario de la tarjeta o el banco que la emitió deben conocer estos valores. Si estos datos prohibidos se almacenan y luego son robados, las personas malintencionadas pueden ejecutar transacciones de débito con PIN fraudulentas. Copyright 2008 PCI Security Standards Council LLC Página 14

19 3.3 Oculte el PAN cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá). Notas: Este requisito no se aplica a trabajadores y a otras partes que posean una necesidad específica de conocer el PAN completo. Este requisito no reemplaza los requisitos más estrictos que fueron implementados y que aparecen en los datos del titular de la tarjeta (por ejemplo, los recibos de puntos de venta [POS]). 3.4 Haga que el PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles y en registros) utilizando cualquiera de los siguientes métodos: Valores hash de una vía en criptografía sólida Truncamiento. Token y ensambladores de índices (los ensambladores se deben almacenar de manera segura). La aparición del PAN completo en artículos como las pantallas de computadoras, los recibos de tarjetas de pago, los faxes o los informes en papel puede facilitar la obtención de estos datos por parte de individuos no autorizados y su uso fraudulento. El PAN puede mostrarse completo en los recibos de copia de comerciantes ; sin embargo, los recibos en papel deben adherirse a los mismos requisitos de seguridad que las copias electrónicas y seguir los lineamientos de las Normas de Seguridad de Datos de la PCI, especialmente el Requisito 9 sobre seguridad física. El PAN completo también puede mostrarse a quienes tienen una necesidad comercial legítima de visualizar el PAN completo. La falta de protección del PAN puede permitir a los individuos malintencionados visualizar o descargar estos datos. Todos los PAN que se almacenan en almacenamiento principal (bases de datos o archivos planos, como hojas de cálculo de archivos de texto) y en almacenamiento no principal (copias de seguridad, registros de auditoría, registros de excepción o resolución de problemas) deben protegerse. El daño ocasionado por el robo o la pérdida de cintas de respaldo durante el transporte puede reducirse si se asegura que los PAN sean ilegibles mediante el cifrado, el truncamiento y la refundición. Como los registros de auditoría, de resolución de problemas y de excepción deben conservarse, puede impedir la divulgación de los datos del registro si se asegura que los PAN sean ilegibles (los elimina u oculta) en los registros. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener definiciones de criptografía sólida. Los valores hash de una vía (como SHA-1) en criptografía sólida pueden usarse para que los datos de los titulares de tarjetas sean ilegibles. Los valores hash son apropiados cuando no hay necesidad de recuperar el número original (los valores hash de una vía son irreversibles). El propósito del truncamiento es que se almacene sólo una porción del PAN (que no se superen los primeros seis dígitos y los últimos cuatro). Esto es distinto al ocultamiento, en donde el PAN completo se almacena pero se oculta cuando aparece (es decir, sólo aparece una parte del PAN en las pantallas, los informes, los recibos, etc.). Los tokens y ensambladores de índices también pueden usarse para que los datos de los titulares de tarjetas sean ilegibles. Un token de índice es un token criptográfico que reemplaza el PAN en base a un índice dado para un valor imprevisible. Un ensamblador de una vez es un sistema en el que una clave privada, que se genera de forma aleatoria, se usa sólo una vez para cifrar un mensaje que luego se descifra con un ensamblador de una vez y una clave. Copyright 2008 PCI Security Standards Council LLC Página 15

20 Criptografía sólida con procesos y procedimientos de gestión de claves relacionadas. La información de cuenta MÍNIMA que se debe dejar ilegible es el PAN. Notas: Si por alguna razón, la empresa no puede hacer que el PAN sea ilegible, consulte el Anexo B: Controles de compensación. La criptografía sólida se define en el Glosario de términos, abreviaturas y acrónimos de las PCI DSS Si se utiliza cifrado de disco (en lugar de un cifrado de base de datos por archivo o columna), se debe administrar un acceso lógico independientemente de los mecanismos de control de acceso del sistema operativo nativo (por ejemplo, no se deben utilizar bases de datos de cuentas de usuarios locales). Las claves de descifrado no deben estar vinculadas a cuentas de usuarios. 3.5 Proteja las claves criptográficas que se utilizan para cifrar los datos de los titulares de tarjetas contra su posible divulgación o uso indebido: Restrinja el acceso a las claves criptográficas al número mínimo de custodios necesarios Guarde las claves criptográficas de forma segura en la menor cantidad de ubicaciones y formas posibles. El propósito de una criptografía sólida (consulte la definición y las longitudes de las claves en el Glosario de términos, abreviaturas y acrónimos de las PCI DSS) es que el cifrado esté basado en un algoritmo probado y aceptado en la industria (no en un algoritmo propietario o propio). El objetivo de este requisito es tratar la aceptabilidad del cifrado de disco para que los datos de los titulares de tarjetas sean ilegibles. El cifrado de disco cifra los datos almacenados en el almacenamiento masivo de una computadora y descifra automáticamente la información cuando un usuario autorizado la solicita. Los sistemas de cifrado de disco interceptan las operaciones de lectura y escritura del sistema operativo y realizan las transformaciones criptográficas apropiadas sin ninguna acción especial por parte del usuario; sólo debe suministrar una contraseña o frase al iniciar sesión. En base a estas características de cifrado de disco, para cumplir con este requisito, el método de cifrado de disco no puede tener: 1) Una asociación directa con el sistema operativo. 2) Claves de descifrado asociadas con las cuentas de usuario. Las claves criptográficas deben estar muy protegidas porque quienes obtienen acceso podrán descifrar los datos. Muy pocas personas deben tener acceso a claves criptográficas; generalmente, sólo quienes tienen responsabilidad como custodios de las claves. Las claves criptográficas deben almacenarse de manera segura, generalmente con claves de cifrado, y en muy pocos lugares. Copyright 2008 PCI Security Standards Council LLC Página 16